Hlavní navigace

Postřehy z bezpečnosti: první bootkit pro Apple

12. 1. 2015
Doba čtení: 4 minuty

Sdílet

V dnešním díle Postřehů se podíváme na první známý Apple bootkit, kdy k úspěšnému přepsání Boot ROM stačí připojit upravené Thunderbolt zařízení, dále na to, kam vedou stopy od útoku na Sony, jak firma Gogo podvrhovala certifikáty, na automatizovaný nástroj pro podvrhování Wi-Fi sítí a mnoho dalšího.

Trammell Hudson na známé konferenci CCC (Chaos Communication Congress) představil první veřejně známý persistentní bootkit využívající chyb Apple EFI firmwaru, který mu dovolil zapsat vlastní kód do ROM paměti Macbooku. Do notebooku společnosti Apple se již před časem přestal dodávat TPM chip, který je schopen pomoci odhalit takto modifikovaný kód pomocí ověření jeho podpisu. Tuto funkcionalitu však Macbooky nemají a spoléhají se jen na CRC hash, který lze obejít. Pojďme si to popsat blíže.

Zjednodušeně řečeno se Macbook spouští v těchto krocích:

1) Načtení Boot ROM firmwaru a přepnutí do Read-Only módu.

2) Načtění “Option ROM” firmwaru z připojených Thunderbolt zařízení.

3) Načtení EFI kódu.

4) Načtení zavaděče OS X.

To znamená, že při pokusu o přepsání Boot ROM pomocí upraveného Thunderbolt zařízení je prvním problémem read-only mód. To lze obejít přepnutím systému do módu, kdy se má aktualizovat (či opravit) Boot ROM. Dalším problémem však je, že aktuální kód Boot ROM vám nedovolí sám sebe přepsat kódem, který není podepsaný certifikátem Applu. V tomto případě však Trammellovi pomohlo, že i když to zřejmě není vůbec potřeba, tak se v tomto módu načítá i Option ROM připojených Thunderbolt zařízení. K tomu všemu v takovém pořadí, že je možné použít kód z Option ROMu k přepsání kódu pro aktualizaci Boot ROMu až po ověření podpisu Boot kódu, ale před jeho zapsáním. A to je kámen úrazu.

Pak už jen stačilo použít vhodnou periferii (Apple LAN adapter) s přepisovatelnou Option ROM a přepsat z Boot ROM jen tu část, která ověřuje podpis kódu.

Tomuto útoku říká Thunderstrike a na svém webu detailně popisuje, jak přesně postupoval, jaké problémy musel řešit a hlavně jakými postupy, aplikacemi a hardwarem je vyřešil. Je to velice užitečný zdroj informací pro člověka, kterého tématika zajímá a který by měl zájem si to sám zkusit.

S úspěšně zavedeným bootkitem můžete plně ovládat systém, odposlechnout i heslo k šifrovaným diskům, podsouvat antivirovým programům falešná data a samozřejmě bonusem je, že reinstalací se škodlivého kódu nezbavíte.

Apple již pracuje na opravě kódu, aby se Option ROM nenačítal během aktualizace Boot ROM. To efektivně zabrání tomuto útoku, ale pořád bude možné použít „Dark Jedi útok, o kterém na stejné konferenci mluvili Rafal Wojtczuk a Corey Kallenberg.

Naše postřehy

Nová verze OpenSSL opravuje osm bezpečnostních chyb. Žádná z nich neumožňuje vzdálené spuštění kódu, vypsání paměti, ani dešifrování komunikace (naštěstí). Chyba v implementaci DTLS umožňuje provést DoS útok. Je dobré ji zmínit, protože DTLS se často používá u moderních klientských VPN spojení (např. AnyConnect, OpenConnect, Edge VPN,…) a při šifrovaném streamování médií.

PowerSploit je kolekce PowerShell skriptů, které se mohou hodit nejednomu penetračnímu testeru OS Windows. Na webu InfoSec Institute je podařený článek popisující práci s tímto balíkem.

Útok na síť Sony skupinou “Guardians of Peace” za sebou zanechal (neprůkazné) stopy vedoucí do Severní Koreje. To uvedl ředitel FBI James Comey. Skupina prý reagovala v komentářích na Internetu a posílala emaily z IP adres, které jsou registrované Severní Koreou.

Někteří uživatelé Skypu nahlásili podvodnou reklamu ve svých klientech nabádající je ke stažení aktualizace Adobe či Javy, protože to jedna z komponent klienta vyžaduje. Podle několika z nich odkaz vedl na webovou stránku podobnou stránce Adobe a snažil se nainstalovat vir/malware.

Společnost Gogo, která je největším poskytovatelem Internetu v letecké přepravě, podepisovala vlastním certifikátem HTTPS služby jako YouTube, Twitter apod., takže pokud jste ignorovali upozornění prohlížeče/klienta o certifikátu vydaném nedůvěryhodnou certifikační autoritou, tak veškerá vaše komunikace mohla být dešifrována. Toto chování (jakkoliv obhajované) je v dnešní době naprosto nemyslitelné.

Wifiphisher je automatizovaný nástroj pro podvrhování WiFi sítí v okolí (WPA/WPA2), kdy je cílem získání hesel a jiných údajů k přístupovým bodům. Této metodě se říká “Evil Twin”. Účinnou obranou je ověřování certifikátu AP klientem, kterým se musí prokázat před předáním klíče/fráze/certifikátu.

Bitstamp po krádeži 19000 BTC opět funguje. Staré servery se stále analyzují a služba teď běží na Amazon Cloudu.

root_podpora

Ve zkratce

Pro pobavení

“Perimeter security at Sony”

(klikněte pro načtení – cca 5MB)

https://i.imgur.com/2YnlJBL.gif

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Byl pro vás článek přínosný?